Esta página descreve o que são os pacotes do Policy Controller e fornece uma vista geral dos pacotes de políticas disponíveis.
Esta página destina-se a administradores de TI e operadores que querem garantir que todos os recursos executados na plataforma de nuvem cumprem os requisitos de conformidade da organização, fornecendo e mantendo a automatização para auditar ou aplicar. Para saber mais sobre as funções comuns e as tarefas de exemplo a que fazemos referência no Google Cloud conteúdo, consulte o artigo Funções e tarefas comuns do utilizador do GKE.
Acerca dos pacotes do Controlador de políticas
Pode usar o Policy Controller para aplicar restrições individuais ao seu cluster ou escrever as suas próprias políticas personalizadas. Também pode usar conjuntos de políticas, que lhe permitem auditar os seus clusters sem escrever restrições. Os conjuntos de políticas são um grupo de restrições que podem ajudar a aplicar práticas recomendadas, cumprir as normas da indústria ou resolver problemas regulamentares nos recursos do cluster.
Pode aplicar pacotes de políticas aos seus clusters existentes para verificar se as suas cargas de trabalho estão em conformidade. Quando aplica um conjunto de políticas, este audita o seu cluster aplicando restrições com o tipo de aplicação dryrun. O dryruntipo de aplicação
permite-lhe ver violações sem bloquear as suas cargas de trabalho. Também recomendamos que apenas as ações de aplicação warn ou dryrun sejam usadas em clusters com cargas de trabalho de produção, quando testar novas restrições ou realizar migrações, como a atualização de plataformas. Para mais informações acerca das ações de aplicação, consulte o artigo
Auditoria através de restrições.
Por exemplo, um tipo de pacote de políticas é o pacote de referências do CIS Kubernetes, que pode ajudar a auditar os recursos do cluster em comparação com a referência do CIS Kubernetes. Esta referência é um conjunto de recomendações para configurar recursos do Kubernetes de modo a suportar uma postura de segurança forte.
Pacotes do Policy Controller disponíveis
A tabela seguinte lista os conjuntos de políticas disponíveis. Selecione o nome do pacote de políticas para ler a documentação sobre como aplicar o pacote, auditar recursos e aplicar políticas.
A coluna alias do pacote apresenta o nome de token único do pacote. Este valor é necessário para aplicar um pacote com comandos da CLI do Google Cloud.
A coluna Versão mais antiga incluída apresenta a versão mais antiga com a qual o pacote está disponível com o Policy Controller. Se quiser instalar pacotes de políticas diretamente, siga as instruções para aplicar vários pacotes de políticas. Se quiser instalar pacotes de políticas manualmente, por exemplo, se precisar de modificar um pacote de políticas, siga as instruções indicadas para esse pacote específico na tabela.
| Nome e descrição | Alias do pacote | Versão mais antiga incluída | Tipo | Inclui restrições referenciais |
|---|---|---|---|---|
| Referência do GKE do CIS: Audite a conformidade dos seus clusters com a referência do GKE do CIS v1.5, um conjunto de controlos de segurança recomendados para configurar o Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Padrão do Kubernetes | Sim |
| Referência do CIS Kubernetes: Audite a conformidade dos seus clusters com a Referência do CIS Kubernetes v1.5, um conjunto de recomendações para configurar o Kubernetes de modo a suportar uma postura de segurança forte. | cis-k8s-v1.5.1 |
1.15.2 | Padrão do Kubernetes | Sim |
| Referência do CIS Kubernetes (pré-visualização): Audite a conformidade dos seus clusters com a Referência do CIS Kubernetes v1.7, um conjunto de recomendações para configurar o Kubernetes de modo a suportar uma postura de segurança forte. | cis-k8s-v1.7.1 |
não disponível | Padrão do Kubernetes | Sim |
| Custo e fiabilidade: O pacote de custo e fiabilidade ajuda a adotar práticas recomendadas para executar clusters do GKE rentáveis sem comprometer o desempenho nem a fiabilidade das cargas de trabalho. | cost-reliability-v2023 |
1.16.1 | Práticas recomendadas | Sim |
| MITRE (pré-visualização): o pacote de políticas MITRE ajuda a avaliar a conformidade dos recursos do cluster com alguns aspetos da base de conhecimentos MITRE de táticas e técnicas de adversários com base em observações do mundo real. | mitre-v2024 |
não disponível | Norma da indústria | Sim |
| Política de segurança de pods: aplique proteções com base na política de segurança de pods (PSP) do Kubernetes. | psp-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Base das normas de segurança de pods: Aplique proteções com base na política de base das normas de segurança de pods (PSS) do Kubernetes. | pss-baseline-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Padrões de segurança de pods restritos: Aplique proteções com base na política restrita dos padrões de segurança de pods (PSS) do Kubernetes. | pss-restricted-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Segurança do Cloud Service Mesh: Audite a conformidade das vulnerabilidades e das práticas recomendadas de segurança do Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Práticas recomendadas | Sim |
| Policy Essentials: Aplique práticas recomendadas aos recursos do cluster. | policy-essentials-v2022 |
1.14.1 | Práticas recomendadas | Não |
| NIST SP 800-53 Rev. 5: O pacote NIST SP 800-53 Rev. 5 implementa controlos indicados na Publicação especial (SP) 800-53 do NIST, revisão 5. O pacote pode ajudar as organizações a proteger os respetivos sistemas e dados contra várias ameaças através da implementação de políticas de segurança e privacidade prontas a usar. | nist-sp-800-53-r5 |
1.16.0 | Norma da indústria | Sim |
| NIST SP 800-190: O pacote NIST SP 800-190 implementa controlos indicados na publicação especial (SP) 800-190 do NIST, Application Container Security Guide. O pacote destina-se a ajudar as organizações com a segurança de contentores de aplicações, incluindo a segurança de imagens, a segurança do tempo de execução de contentores, a segurança de redes e a segurança do sistema anfitrião, entre outros. | nist-sp-800-190 |
1.16.0 | Norma da indústria | Sim |
| Guia de reforço do Kubernetes da NSA CISA v1.2: Aplique proteções com base no Guia de reforço do Kubernetes da NSA CISA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Norma da indústria | Sim |
| PCI-DSS v3.2.1 (descontinuado): aplique proteções com base na Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 ou pci-dss-v3.2.1-extended |
1.15.2 | Norma da indústria | Sim |
| PCI-DSS v4.0: Aplique proteções com base na Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) v4.0. | pci-dss-v4.0 |
não disponível | Norma da indústria | Sim |
O que se segue?
- Saiba como aplicar restrições individuais.
- Aplique práticas recomendadas aos seus clusters.
- Faça um tutorial sobre como usar pacotes de políticas no seu pipeline de CI/CD para mudar para a esquerda.